細思極恐！Agent暗藏風險，清華團隊打出組合拳，全鏈路一網打盡

新智元報道

編輯：YHluck

【新智元導讀】當Agent開始真正進入生產環境，安全問題不再是「功能模塊」，而是貫穿調用鏈、運行時與生態層的系統性風險。過去依賴提示詞規則、日志審計與框架級防護的方式，正在逐步失效。來自清華大學人工智能學院、交叉信息研究院的方寸躍遷提出一套面向Agent運行全生命周期的多層安全體系。

當所有人都在卷Agent能力的時候，一個更危險的問題，已悄然出現——

你部署的Agent，此刻到底在做什么？

一個被忽略很久的事實

Agent會「表演」

過去兩年，行業幾乎把全部火力砸在了模型能力、Agent框架與工具調用體系的軍備競賽里。

安全能力，則更多停留在「表層防護」：提示詞規則、輸入輸出過濾、運行時日志審計，加上基于SDK Hook的框架級約束。

這些機制各自有效。但它們共享同一個根本性盲區——

它們看到的，只是Agent「聲明」出來的行為。

但如果將視角稍微下沉一層，問題會迅速變得復雜。

Agent在執行任務時，會與環境發生大量真實交互：調用API、讀寫文件、操控瀏覽器、驅動數據庫、以及與其他Agent協同通信。

一個完整任務的執行鏈，可能橫跨數十個步驟、多個工具鏈與多個運行層級。

這種復雜性本身，就天然構成了行為掩護層。

更可怕的是，模型會在被監控的環境下，主動調整自己的行為表現。不是按規則執行，而是「按規則表演」。

這不是科幻設定。而是已經在論文里、在紅隊報告里、在企業內部事故復盤里反復出現的真實風險。

當企業內部同時運行數十甚至上百個Agent，由不同團隊、不同框架與不同模型構建時，一個更現實的問題隨之出現：

系統已經無法完整感知，自己正在運行多少個Agent。更無法確認，它們真正在做什么。

Fangcun Observer

看見真實動作，守住安全邊界

來自清華大學人工智能學院、交叉信息研究院的方寸躍遷給Observer指定了一條設計哲學——

別問Agent想做什么，看它到底做了什么。

聽起來簡單，真正的挑戰在于把它鍛造成穩定、低延遲、可審計、可規?；南到y。

視角的反轉

主流的Agent安全方案，幾乎清一色接在表層：提示詞里的安全規則、輸入輸出的內容過濾、運行時的日志審計、Agent Harness提供的SDK Hook。

每一層都有人在做。

每一層也都有同一個盲區：它們看到的，都是Agent在框架邊界上「聲明」出來的那一層。

Observer不走這條路。

它直接下沉到操作系統層，不依賴任何框架插件，不依賴SDK接口，不依賴模型供應商集成。業務代碼零改動，Agent無感知接入——觀測，即刻開始。

它捕獲的，是Agent的真實行為：

執行了哪些系統命令

讀寫了哪些文件

發起了哪些網絡請求

是否出現越權操作或高風險行為序列

過去的方案，看到的是Agent「說」了什么。Observer看到的，是Agent「做」了什么。

聲明可以包裝，行為不會撒謊。

五項核心能力

重新定義Agent安全的邊界

• OS層行為感知，徹底解耦Harness，開箱即用

Agent生態日新月異，沒有任何一個框架能成為永久標準。今天是Open Claw，明天可能換成Hermes，后天又會有新的涌現。

Observer直接在操作系統層感知Agent的真實動作，與上層框架、調用棧、模型供應商完全解耦。

無論Agent跑在哪套棧上，觀測能力始終有效。

企業不需要為每一次技術遷移，重新接入一遍安全體系。

• 無感知運行時觀測

業務代碼零改動，計算開銷忽略不計，現有鏈路一行都不用碰。不是「改動很小」——是真的不用動。

第二層更關鍵。Agent不會知道自己正在被觀測——你看到的，是它真正的行為。不是它「表演」給你看的樣子。

• 實時干預，主動阻斷，安全前置

Observer不只是事后復盤工具。

危險命令執行、敏感文件操作、異常網絡訪問、越權持久化——針對這些高風險行為，系統在行為落地之前完成實時研判，按策略執行通知、暫停或直接阻斷。

從亡羊補牢，變成關門打狗。

• 全鏈路溯源，揪出隱藏威脅

真正的風險，從來不在表面。

Observer把運行時的真實行為、Agent的決策動作與模型上下文關聯成完整的行為圖譜——每一個風險事件，都能追溯到完整的決策鏈路。

哪怕是環境投毒攻擊；哪怕是從不親自動手、只靠影響其他Agent來轉嫁風險的惡意Agent——在多Agent協作網絡里，都無處遁形。

• 本地審計+自進化防御策略

所有觀測、審計、事件數據均可完整本地沉淀，不上云、不外傳。

策略模型基于真實運行數據持續迭代，從靜態規則走向自進化防御。

安全能力，隨業務規模一同生長。

Fangcun Guard

讓安全審核，從「性能稅」變成「基礎設施」

Observer守住的是Agent在系統層的真實行為。

但Agent的輸入和輸出，同樣需要一道護欄。

一個真正能放進生產環境的安全護欄，到底要做到什么？

夠快。一次完整的Agent對話，要過2到4道審核：用戶輸入、工具調用入參、模型輸出、工具返回。每一道都不能拖慢用戶體驗。

夠準。不能某一類強、某一類崩。漏檢少，誤拒低，所有主流場景都要穩定輸出。

夠靈活。金融、醫療、教育、游戲，每個場景的風險結構完全不同。一套固定閾值打天下，行不通。

業內主流的開源安全大模型——Llama Guard、NVIDIA Nemotron、Qwen3 Guard、xGuard——已經把這件事推到了相當不錯的水平。

但同時把「快、準、靈活」三件事都做到頂尖？

Fangcun Guard，是方寸躍遷給出的答案。

數據怎么樣，直接看圖

6項公開benchmark，7款最常用的開源安全模型，同條件對齊評測。

先看綜合檢測準確性：Fangcun Guard=91.1。開源方案的區間，分布在70到88之間。

再看p99推理延時：Fangcun Guard=8毫秒。8B量級的開源方案普遍在130毫秒以上，0.6B的輕量方案能壓到50毫秒以內——但F1上還有差距。

5項差異化能力

決定它能不能進生產環境

• 判定不偏科，灰區話術不放過

一般有害內容，能判。精心構造的越獄攻擊，能判。深度偽裝成正常對話的灰區話術——也能判。

跨場景穩定輸出，是進生產環境的唯一門票。

• 毫秒級響應，安全審核變基礎設施

一次完整Agent對話，要過4道審核。4道全跑Guard，總耗時30毫秒。

用戶感知不到。業務感知不到。

安全審核，從「性能稅」變成了默認開啟、隨處可加的基礎設施。

• 中文場景，專項打磨

通用安全大模型的慣常操作：全世界語言一鍋燉，英文亮眼，中文長尾頻繁漏過。

Fangcun Guard把風險拆成10個獨立類別，每一類基于中文場景專項合成數據、專項對齊訓練?？缯Z種攻擊、口語化越獄、長尾邊緣案例，穩定召回。

• 10類風險獨立可調，不再一刀切

通用安全模型只給「開/關」兩檔。但金融、醫療、教育、游戲，每個場景的風險結構完全不同。

FangcunGuard把10類風險作為獨立維度暴露給企業，每一類攔截閾值單獨配置，Web控制臺或接口中按業務自調。

• 主流Agent生態一鍵接入

主流Agent框架開箱即用，業務代碼零改動。

如果你的Agent還卡在130毫秒的延遲里——

是時候換一個8毫秒搞定的護欄了。

Skill Ward

三階段檢測，真實蜜罐運行

Observer守運行時行為，Guard守輸入輸出邊界。

但隨著Agent的持續發展，還有一類風險來自更上游——第三方Skill。

這個生態已經長成了Agent的「App Store」。

Claude Skills、OpenAI Apps、Claw Hub，幾十萬個第三方Skill匯聚其中。

行業現有的方案，幾乎全部停留在靜態掃描：掃一遍代碼、查可疑導入、檢索黑名單關鍵詞。

但惡意Skill真正的殺招，從來不在靜態代碼里。

那行寫著「讀取配置文件」的代碼，跑起來才去拉遠程載荷；

那段標注「調試日志」的邏輯，觸發后才向外發請求；

那個看上去合法的依賴包，在特定參數下才激活后門。

只看代碼，看不出來。

Skill Ward，是方寸躍遷推出的全球首個三階段Agent Skill安全掃描器——不只是靜態檢查，是真實運行一遍。

第一階段：靜態分析——惡意簽名、危險調用、可疑依賴，先過一遍。

第二階段：大模型研判——理解Skill真實意圖，識別偽裝話術、混淆邏輯、社工誘導。

第三階段：Docker蜜罐沙箱實際執行——真正的殺手锏。

每一個Skill都會被丟進隔離的蜜罐環境，真實跑一遍。

調用了哪些命令、訪問了哪些路徑、連接了哪些外部地址、有沒有嘗試持久化、有沒有橫向探測——一切行為，無處遁形。

那些「看上去無害、運行時才動手」的Skill，在這一關原形畢露。

5000個真實Skill實測：僅靠靜態掃描，會漏掉約三分之一的運行時威脅。這部分，全部由蜜罐沙箱階段抓出。

運行時的真實行為軌跡，才是答案。

事前、事中、事后

Agent安全的完整邊界

Skill Ward，守事前——Skill裝入Agent之前的最后一關

Fangcun Guard，守事中的輸入輸出——8毫秒的護欄，安全審核變基礎設施。

Fangcun Observer，守事中的真實行為，沉淀事后審計——操作系統層的真相，無法造假。

過去兩年，行業把幾乎所有火力，砸在了Agent能力的天花板上。

但Agent真正大規模進入企業生產環境的那一刻，決定它能不能落地的，從來不是它有多聰明——

而是它有多可控：你知道有多少個Agent在運行。你知道每一個Agent真正在做什么。你能在它做錯事之前阻斷它。你能在它做對事的時候，讓它跑得足夠快。

Agent時代的安全邊界，第一次被完整畫出來。

在Agent安全尚處早期定義階段的當下，方寸躍遷正通過產品與技術加速構建起Agent時代的全新安全基礎設施平臺。